WordPress 5.1.1 – Vá lỗi bảo mật XSS nghiêm trọng [NEW]

WordPress 5.1.1 đã được phát hành kể từ ngày 12 tháng 3 năm 2019 với một bản vá bảo mật nghiêm trọng. Một lỗ kịch bản trên nhiều trang web tìm thấy trong WP 5.1 và các phiên bản trước đó.

Simon Scannell sau đó Công nghệ RIPS đã phát hiện và báo cáo một lỗ hổng trên bài đăng này.

lo hong bao mat wordpress 5 1

Trong bài đăng này, anh ấy giải thích rằng kẻ tấn công chưa được xác thực có thể chiếm bất kỳ trang web WordPress nào có bật nhận xét.

“Kẻ tấn công có thể chiếm bất kỳ trang web WordPress nào có tính năng nhận xét bằng cách lừa quản trị viên của một blog mục tiêu truy cập trang web do kẻ tấn công thiết lập. Ngay sau khi quản trị viên nạn nhân truy cập trang web độc hại, một hoạt động khai thác giả mạo yêu cầu trên nhiều trang web (CSRF) sẽ được thực hiện dựa trên blog WordPress mục tiêu trong nền mà nạn nhân không nhận ra. Khai thác CSRF lạm dụng nhiều lỗi logic và lỗi làm sạch mà khi kết hợp sẽ dẫn đến Thực thi mã từ xa và tiếp quản toàn bộ trang web. “

Bản tóm tắt:

Kẻ tấn công có thể chiếm bất kỳ trang web WordPress nào có hỗ trợ nhận xét bằng cách lừa quản trị viên truy cập vào trang web do kẻ tấn công thiết lập.

Ngay sau khi quản trị viên nạn nhân truy cập vào trang web độc hại, giả mạo yêu cầu trên nhiều trang web (CSRF) được chạy ở chế độ nền trên blog WordPress bị tấn công mà không thông báo cho nạn nhân.

Dựa trên lỗ hổng CSRF, kẻ tấn công sẽ chiếm quyền kiểm soát trang web của bạn từ xa.

*CSRF (Yêu cầu trên nhiều trang web giả mạo) là một kỹ thuật tấn công bằng cách sử dụng quyền xác thực của người dùng chống lại một trang web khác. Ứng dụng web hoạt động bằng cách nhận lệnh HTTP từ người dùng, sau đó thực hiện các lệnh này.

Tin tặc sử dụng CSRF. phương pháp để lừa trình duyệt của người dùng gửi các lệnh http đến các ứng dụng web. Trong trường hợp phiên của người dùng chưa hết hạn, các lệnh trên sẽ được thực thi với quyền xác thực của người dùng.

Lời khuyên

Cập nhật ngay lập tức lên 5.1.1 và sao lưu thường xuyên.

Đây là bằng chứng cho thấy bạn không phải sử dụng các theme và plugin có bản quyền, không bị hack.

Các lỗ hổng có thể được khai thác từ rất nhiều nơi. Dự phòng hàng ngày là một lá bùa hộ mệnh cho bạn.